Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Índice
1. Autenticación 1
1.1. Tipos de autenticación . . . . . . . . . . . . . . . . . . . . . . 3
1.2. Autenticación mediante el uso de Kerberos . . . . . . . . . . 3
1.3. RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.4. TACACS+ (Terminal Access Controller Access Control Sys-
tem Plus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.5. Protocolo punto a punto (Point to Point Protocol—PPP) . . . . 7
1.5.1. Protocolo de autenticación (PAP) . . . . . . . . . . . . 7
1.5.2. Protocolo de autenticación de intercambio de señales
(CHAP) . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1. Autenticación
La autenticación es la técnica mediante la cual un proceso verifica que
su compañero de comunicación sea quien se supone que debe ser y no un
impostor.
Es muy difícil verificar la identidad de un proceso remoto en la presen-
cia de un intruso activo y malicioso, además de que se requieren protocolos
complejos basados en la criptografía.
Vale la pena señalar que algunas personas confunden la autorización
con la autenticación. Esta última tiene que ver con la interrogante de si
usted realmente se está comunicando con un proceso específico.
1
La autorización tiene que ver con lo que ese proceso tiene permitido
hacer.
Por ejemplo, supongamos que un proceso cliente se contacta con un
servidor de archivos y dice:
Ahora bién, desde el punto de vista del servidor de archivos, hay que
responder a dos preguntas:
2
El objetivo de utilizar una nueva clave de sesión elegida al azar para
cada nueva conexión es minimizar la cantidad de tráfico que se envía con
las claves secretas o públicas del usuario, para reducir la cantidad de texto
cifrado que un intruso puede obtener, y para minimizar el daño hecho si
un proceso falla y su volcado de memoria cae en las manos equivocadas.
Por fortuna, la única clave presente será entonces la de sesión. Hay que
tener cuidado de poner en cero todas las claves permanentes después de
que se haya establecido la sesión.
3
Figura 1: Funcionamiento de Kerberos.
4
Puesto que los diseñadores de Kerberos no esperaron que todo el mun-
do confiara en un solo servidor de autenticación, establecieron reglas pa-
ra tener múltiples dominios (realms), cada uno con su propio AS y TGS.
Para obtener un ticket para un servidor de un dominio distante, alguien
podría solicitar a su propio TGS un ticket aceptado por el TGS en el do-
minio distante. Si el TGS distante se ha registrado con el TGS local (de la
misma manera en que lo hacen los servidores locales), este último le dará
a un usuario un ticket válido en el TGS distante. Así el usuario puede ha-
cer negocios allá, como obtener tickets para servidores de ese dominio. Sin
embargo, hay que tener en cuenta que para que las partes de dos dominios
hagan negocios, cada una debe confiar en el TGS de la otra. De lo contrario,
no podrán hacer negocios.
1.3. RADIUS
El protocolo RADIUS para autenticar usuarios es uno de los sistemas
más antiguos usados en Internet. El protocolo ha sido una plataforma es-
tándar desde la era de las conexiones de marcado a Internet.
RADIUS ejecuta un programa de software en un servidor. El servidor
suele utilizarse exclusivamente para la autenticación RADIUS. Cuando un
usuario intenta conectarse a la red, un programa cliente de RADIUS dirige
todos los datos de usuario al servidor RADIUS para la autenticación.
El servidor aloja los datos de autenticación del usuario en un formato
encriptado y envía una respuesta de paso o rechazo de nuevo a la platafor-
ma de conexión. Por tanto, la autenticación se establece o se rechaza. Si se
rechaza, el usuario simplemente intenta de nuevo.
Cuando se haya establecido, la interacción RADIUS termina. Las ser-
vicios de red adicionales que requieren autenticación son manejados por
otros protocolos, si es necesario.
Explicación de Funcionamiento de RADIUS:
5
Figura 2: Funcionamiento de RADIUS.
6
Figura 3: TACACS+.
7
Figura 4: RADIUS vs TACACS+.
A diferencia de PAP, que sólo autentica una vez, CHAP realiza compro-
baciones periódicas para asegurarse de que el nodo remoto todavía posee
un valor de contraseña válido. El valor de la contraseña es variable y cam-
bia impredeciblemente mientras el enlace existe.
8
Después de completar la fase de establecimiento del enlace PPP, el rou-
ter local envía un mensaje de comprobación al nodo remoto.
El nodo remoto responde con un valor que se calcula con la contraseña
y el mensaje de comprobación.
El router local verifica la respuesta y la compara con su propio cálculo
del valor esperado. Si los valores concuerdan, el nodo de inicio acusa recibo
de la autenticación. En caso contrario, el nodo de inicio termina la conexión
inmediatamente.
El CHAP brinda protección contra los intentos de reproducción a través
del uso de un valor de comprobación variable que es exclusivo e impredeci-
ble. Como la comprobación es única y aleatoria, el valor resultante también
es único y aleatorio. El uso de comprobaciones reiteradas limita el tiempo
de exposición ante cualquier ataque. El router local o un servidor de auten-
ticación de terceros tiene el control de la frecuencia y la temporización de
las comprobaciones (Figura 5).
9
Referencias
[1] TANENBAUM,A. S. & W ETHERALL , D. J. (2012). Redes de compu-
tadoras.. México: Pearson Educación.
10